Агенты ФБР, вооруженные постановлением суда, установили контроль над главным сервером в глобальной бот-сети Кремля, состоящей из 500 тыс. взломанных маршрутизаторов, как стало известно The Daily Beast. Этот шаг позволяет бюро составить исчерпывающий список жертв нападения, а также ослабляет способность Москвы повторно атаковать свои цели.

Целью контр-операции ФБР стал "фильтр VPN", фрагмент сложной вирусной программы, связанной с российской группой хакеров, известной как Fancy Bear. Именно эта группа взломала сервер Национального комитета Демократический партии и подорвала предвыборную кампанию Хиллари Клинтон в 2016 году. В среду исследователи проблем безопасности в компаниях Cisco и Symantec отдельно друг от друга представили новые данные о вирусе, который появился в 54 странах, включая США.

Фильтр VPN использует известные слабые места, чтобы заразить маршрутизаторы, разработанные компаниями Linksys, MikroTik, NETGEAR и TP-Link. Как сообщают эксперты, будучи установленной, вредоносная программа передает сигналы командной инфраструктуре, которая может установить на компьютере специальные программные модули. Один из них позволяет хакерам отслеживать интернет-трафик жертвы для того, чтобы получить учетные данные веб-сайта; второй направлен против протокола, используемого в промышленных сетях управления, например, регулирующих поставки электричества. Третий позволяет хакеру парализовать любое зараженное устройство.

Читайте также: Цифровий неспокій: нагальна потреба подбати про нашу безпеку

ФБР вело расследование по этой бот-сети как минимум с августа. Согласно судебным материалам, именно тогда представители офиса в Питтсбурге допросили местную жительницу, чей домашний маршрутизатор был поражен российским вирусом. "Она добровольно предоставила агентам доступ к своему маршрутизатору, – написал агент ФБР Майкл МакКаун, в поданном в федеральный суд отчете. – Кроме того, жертва позволила ФБР подключить перехватчик трафика к своей домашней сети, что позволило агентам наблюдать за сетевым трафиком, выходящим из домашнего маршрутизатора".

Это позволило бюро выявить главное слабое место вируса. Если жертва перезагружает маршрутизатор, вирусные модули исчезают – остается только основной код вредоносной программы. Этот код запрограммирован на подключение через Интернет к инфраструктуре командования и управления, созданной хакерами. Сначала он ищет определенные изображения, размещенные на Photobucket.com, которые содержат скрытую информацию в метаданных. Если он не находит эти изображения – в случае, если они в действительности удалены из Photobucket – он превращается в контрольную точку аварийного резервного копирования на жестко закодированном веб-адресе ToKnowAll [.] Com.

Во вторник агенты ФБР в Питтсбурге обратились к судье Федерального суда в Питтсбурге Лизе Пупо Ленихану за постановлением, предписывающим занимающейся регистрацией доменов фирме Verisign передать адреса ToKnowAll [.] Com под контроль ФБР. Это было нужно для того, чтобы "продолжить расследование, помешать совершению преступных действий, связанной с созданием и использованием бот-сетей, и оказать помощь в усилиях по восстановлению безопасности", говорится в судебных документах. Судья выдала документ, и в среду бюро взяло домен под свой контроль.

Читайте также: The Washington Post: Правительства США и Великобритании предупреждают бизнес во всем мире о российской кампании по взлому роутеров

Как поясняет Викрам Тхакур, технический директор компании Symantec, эти меры эффективно разрушают способность вируса активироваться повторно. "Теперь вирус неустойчив и не сохраняется после перезагрузки маршрутизатора, – добавил Тхакур. – Он исчезает".

Другими словами, среднестатистические потребители могут остановить последнюю российскую кибератаку. Теперь после перезагрузки их маршрутизаторы обратятся к ФБР, а не к российской разведке. Согласно заявлению суда, ФБР собирает IP-адреса каждого взломанного маршрутизатора, обслуживающего домашний адрес, таким образом, агенты могут использовать эту информацию для глобальной очистки от вируса.

"Одна из вещей, которые они могут сделать – это отследить, кто в настоящее время заражен и кто сейчас является жертвой, и передать эту информацию местным интернет-провайдерам, – сказал Тхакур. – Некоторые интернет-провайдеры имеют возможность удаленно перезапускать маршрутизаторы. Другие даже отправляют письма домашним пользователям, призывающим их перезапустить свои устройства".

Оригинал на The Daily Beast

Перевод – Андрей САБАДЫР, специально для UAINFO

Підписуйся на сторінки UAINFO у Facebook, Twitter і Telegram